Η Ανατροπή που Κανείς Δεν Πρόβλεψε (Αλλά Ήταν Προφανής)

Αν διαχειρίζεσαι hosting εταιρεία, χειρίζεσαι δεδομένα πελατών στην ΕΕ ή τρέχεις πλατφόρμα δεδομένων, σταμάτα και διάβασε. Η ιδέα ότι οι πελάτες σου φέρουν όλο το βάρος του GDPR; Τελείωσε.

Για επτά χρόνια, από το 2018 έως το 2024, οι ρυθμιστικές αρχές χτυπούσαν τον "έλεγχο" – αυτόν που είχε άμεση επαφή με τους χρήστες. Οι hosting παρόχοι, τα cloud services και οι υποδομές έμεναν στο περιθώριο. Το 2025, όλα άλλαξαν. Δύο αποφάσεις το αποδεικνύουν.

Πρώτη Υπόθεση: Η Αποτυχία του NHS που Κόστισε 3,07 Εκατ. Λίρες

Τον Μάρτιο του 2025, το βρετανικό ICO έκανε πρεμιέρα: Πρόστιμο απευθείας σε επεξεργαστή δεδομένων.

Η Advanced Computer Software Group παρέχει IT υπηρεσίες στο Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου. Ransomware εισέβαλε το 2022 μέσω λογαριασμού πελάτη χωρίς MFA. Εκτέθηκαν ιατρικά αρχεία 900 ασθενών, από σύνολο 82.946 ατόμων.

Το κλειδί: Το πρόστιμο πήγε στην Advanced, όχι επειδή είχε σχέση με ασθενείς, αλλά επειδή δεν προστάτευσε τα δεδομένα που όφειλε συμβατικά.

Τα τεχνικά λάθη:

• Καμία MFA σε συστήματα υγειονομικών δεδομένων
• Απουσία πλήρους σάρωσης ευπαθειών
• Ελλιπής διαχείριση patches

Αρχικό πρόστιμο 6,1 εκατ. λίρες, μειώθηκε σε 3,07 εκατ. μετά από συνεργασία. Το μήνυμα σαφές: Το Άρθρο 32 του UK GDPR απαιτεί "κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας". Επεξεργάζεσαι δεδομένα; Είσαι υπεύθυνος.

Δεύτερη Υπόθεση: Η Παγίδα Διατήρησης Δεδομένων που Κόστισε 1 Εκατ. Ευρώ

Πέντε μήνες μετά, η γαλλική CNIL χτύπησε τη Mobius Solutions, SaaS εταιρεία με έδρα στο Ηνωμένο Βασίλειο, που χειριζόταν διαφημιστικά δεδομένα της Deezer.

Μετά το τέλος του συμβολαίου, η Mobius κράτησε τα δεδομένα. Χειρότερα: Τα χρησιμοποίησε για βελτίωση δικών της υπηρεσιών, χωρίς άδεια.

Τρεις παραβάσεις:

1. Διατήρηση δεδομένων μετά το τέλος συμβολαίου (Άρθρο 28(3)(g))
2. Επεξεργασία πέρα από οδηγίες ελεγκτή (Άρθρο 28(3)(a))
3. Έλλειψη αρχείων επεξεργασίας (Άρθρο 30)

Πρόστιμο: 1 εκατ. ευρώ.

Για hosting πλατφόρμες, το ζήτημα είναι η κλίμακα: 46 εκατ. αρχεία χρηστών Deezer. Χωρίς νομική παρουσία στην ΕΕ, η CNIL είχε πλήρη αρμοδιότητα. Τρία χρόνια έρευνας κατέληξαν σε απευθείας δράση.

Τι Σημαίνει για το Hosting σου

Δεν είναι εξαιρέσεις. Είναι νέα δεδομένα. Αυτά καθορίζουν:

Άμεση ευθύνη για ασφάλεια. Η DPA μεταφέρει συμβόλαια, όχι ρυθμιστικούς κινδύνους. Αν αποτύχεις σε τεχνικά μέτρα, πληρώνεις εσύ.

Διαγραφή δεδομένων υποχρεωτική. Τέλος συμβολαίου; Διαγράφεις. Η Mobius δείχνει ότι "για παν ενδεχόμενο" δεν περνάει.

Πρότυπα ασφαλείας αδιαπραγμάτευτα. MFA, σάρωση ευπαθειών, patches, έλεγχος πρόσβασης – πλέον είναι νόμος, όχι επιλογή.

Τεκμηρίωση σώζει ή καταστρέφει. Λείπουν αρχεία επεξεργασίας, logs, πολιτικές διατήρησης; Οι αρχές υποθέτουν παραβίαση.

Τι Κάνεις Άμεσα

Για hosting, managed services ή SaaS με ΕΕ δεδομένα:

1. Έλεγξε αρχιτεκτονική ασφαλείας. MFA, κρυπτογράφηση, segmentation, σάρωση – όλα ενεργά σε δεδομένα χρηστών;

2. Επανεξέτασε διατήρηση. Αυτοματισμοί διαγράφουν μετά από συμβόλαια; Καθορίστε και εφαρμόστε περιόδους.

3. Βελτίωσε DPA. Συγκεκριμένες υποχρεώσεις ασφαλείας, διαγραφής, ελέγχων – όχι γενικότητες.

4. Λογιστικά και monitoring παντού. Απόδειξε τι επεξεργάζεσαι, ποιος έχει πρόσβαση, πώς προστατεύεις.

5. Σκέψου cyber insurance. Πρόστιμα γίνονται πραγματικά. Καλύπτει μέρος του ρίσκου.

6. Συμβουλεύσου δικηγόρο. Νέα δεδομένα – χρειάζεσαι expertise σε tech και νόμο.

Η Σκληρή Πραγματικότητα

Το GDPR έκανε επεξεργαστές υπεύθυνους από το 2018. Οι αρχές χτυπούσαν ελεγκτές – εύκολος στόχος.

Το 2025, στράφηκαν στους πραγματικούς κατόχους δεδομένων. Advanced και Mobius άνοιξαν δρόμο. Δεν θα είναι οι τελευταίοι.

Όλοι οι hosting, SaaS, cloud με ΕΕ δεδομένα είναι πλέον στόχος. Δεν είναι "αν", είναι "πότε".

Στο NameOcean, το Vibe Hosting χτίστηκε με compliance από την αρχή. Δεν αγοράζεις συμμόρφωση – την ενσωματώνεις παντού.

Ξεκίνα τώρα. Ο δρόμος χαράχτηκε.